Säkerhetsbulletin från Debian
DSA-1374-1 jffnms -- flera sårbarheter
- Rapporterat den:
- 2007-09-11
- Berörda paket:
- jffnms
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i jffnms, ett webbaserat nätverkshanteringssystem för IP-nätverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2007-3189
Serveröverskridande skriptsårbarhet (XSS) i auth.php, vilket gjorde det möjligt för en angripare utifrån att injicera godtyckliga webbskript eller HTML-kod via
user
-parametern. - CVE-2007-3190
Flera SQL-injiceringssårbarheter i auth.php, vilka gjorde det möjligt för angripare utifrån att exekvera godtyckliga SQL-kommandon via
user
- ochpass
-parametrarna. - CVE-2007-3192
Direktanrop till URL:er gjorde det möjligt för angripare utifrån att komma åt konfigurationsinformation och förbigå inloggningsrestriktioner.
För den stabila utgåvan (Etch) har dessa problem rättats i version 0.8.3dfsg.1-2.1etch1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.8.3dfsg.1-4.
Vi rekommenderar att ni uppgraderar ert jffnms-paket.
- CVE-2007-3189
- Rättat i:
-
Debian GNU/Linux 4.0 alias etch
- Källkod:
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
MD5-kontrollsummor för dessa filer finns i originalbulletinen.